MSA de tiempo predeterminado de destrucción de claves

Como se anunció recientemente, Cloud Key Management Service (Cloud KMS) cambiará el valor predeterminado por la cantidad de tiempo que una clave permanece en el estado DESTROY_SCHEDULED antes de destruirse de 1 día a 30 días. En esta página, se proporciona información adicional sobre el cambio y cómo puedes actuar en consecuencia según tus necesidades.

Descripción general

Cuando envías una solicitud de destrucción para una versión de clave, su state se convierte en DESTROY_SCHEDULED. Durante ese período de eliminación no definitiva, puedes cancelar la solicitud de destrucción mediante el restablecimiento de la versión de clave. Después de que pasó la duración configurada para la destrucción programada de la clave, el estado de la versión de clave se convierte en DESTROYED, y los clientes no pueden recuperar el material de la clave.

Cloud KMS está cambiando el valor predeterminado de 1 a 30 días por el tiempo que una clave permanece en el estado DESTROY_SCHEDULED antes de destruirse.

Este cambio aborda los comentarios de varias fuentes que indican la necesidad de una duración más larga. El nuevo valor predeterminado te ayudará a notar y restablecer las claves destruidas por error antes de que sea demasiado tarde, lo que reduce el riesgo general de eliminación accidental o maliciosa de claves.

Cronograma

Fecha	¿Qué aspectos cambiarán?
1 de nov de 2023	Puedes usar el procedimiento de inhabilitación para mantener sin cambios la duración programada predeterminada de todas las claves existentes (creada antes del 1 de febrero de 2024).
1 de feb de 2024	Todas las claves nuevas creadas sin una duración programada de destrucción personalizada usan la nueva duración predeterminada de 30 días.
1 de mayo de 2024	Si no realizas ninguna acción antes de esta fecha, las claves existentes en las que no se especifique ningún valor de duración programada de destrucción personalizada se actualizarán para usar el nuevo valor predeterminado de 30 días.

Acciones necesarias

En la siguiente lista, elige las acciones que mejor se adapten a tus necesidades:

• Para aceptar la nueva duración programada de destrucción predeterminada de 30 días para las claves existentes que usan el valor predeterminado anterior de 1 día, no es necesario que realices ninguna acción. Las claves existentes con una duración programada de destrucción de 1 día se actualizarán de forma automática a 30 días. Esta migración está programada para comenzar el 1 de mayo de 2024 y se espera que se complete en un plazo de dos semanas a partir de esa fecha.

• Para aceptar la nueva duración programada de destrucción predeterminada de 30 días para las claves nuevas, no es necesario que realices ninguna acción. Las claves nuevas sin una duración programada de destrucción personalizada se crearán con el valor predeterminado de 30 días. Puedes descartar el banner en la consola de Google Cloud.

• Si quieres conservar la duración programada de destrucción anterior de 1 día para las claves existentes (creadas antes del 1 de febrero de 2024), inhabilita la actualización de la duración programada de destrucción predeterminada. Para obtener instrucciones detalladas, consulta Inhabilita la actualización de claves existentes en esta página.

• A fin de conservar la duración programada de la destrucción anterior de 1 día para las claves nuevas, especifica 1 día como la creación programada de la destrucción durante la creación de la clave. Establece la duración programada de la destrucción para todas las claves creadas a partir del 1 de febrero de 2024. Para obtener instrucciones detalladas, consulta Establece la duración del estado “programado para destrucción”.

Inhabilitar la actualización de claves existentes

Para mantener el valor predeterminado anterior para tus claves existentes, puedes inhabilitar tu proyecto a través de la consola de Google Cloud o gcloud CLI antes del 1 de mayo de 2024.

1. Otórgate el nuevo permiso de IAM cloudkms.locations.optOutKeyDeletionMsa. Ten en cuenta que este permiso también forma parte de la función de IAM cloudkms.admin existente.

2. Puedes inhabilitarla mediante alguno de los siguientes métodos:

   • Usa el banner en la página Administración de claves de la consola de Google Cloud.

   • Ejecuta el comando kms key-deletion-opt-out para inhabilitar proyectos individuales:

     gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID
     

     Reemplaza PROJECT_ID por el ID del proyecto.

   • Usa una secuencia de comandos de Bash para ejecutar el comando kms key-deletion-opt-out en todos los proyectos de tu organización:

     #!/bin/bash
      for project_id in $(
          gcloud asset search-all-resources \
              --scope=organizations/ORGANIZATION_ID \
              --query="name://cloudresourcemanager.googleapis.com/projects" \
              --read-mask=project \
              | awk '{ print $2 }' | sed '/^$/d'
      ); do
          $(gcloud alpha kms key-deletion-opt-out --project=$project_id)
      done
     

     Reemplaza ORGANIZATION_ID por el ID de tu organización.

Deshacer la inhabilitación de la actualización de claves existentes

Si inhabilitas la opción por error, solo podrás volver a habilitarla con gcloud CLI. Para ello, agrega la marca --undo al final del comando. Por ejemplo, en el caso de un solo proyecto, usa el siguiente comando para deshacer la inhabilitación:

gcloud alpha kms key-deletion-opt-out --project=projects/PROJECT_ID --undo

Novedades

• Obtén más información para controlar la destrucción de claves con políticas de la organización.